Finanzdatenstehlender Schädling jetzt auf Amazons Cloud-Webservice

In der jüngsten Vergangenheit wurden einige Fälle vermeldet, in denen Amazons Cloud-Computing-Dienst als Plattform für erfolgreiche Angriffe gegen Sony genutzt wurde…tja, und heute habe ich entdeckt, dass Amazons Webdienste (Cloud) jetzt auch für die Verbreitung von Schadcode, der illegal Finanzdaten abfischt, missbraucht wird.

Alle Anzeichen weisen darauf hin, dass die hinter diesem Angriff stehenden Kriminellen in Brasilien sitzen und dass sie mehrere, im Vorfeld registrierte Konten verwendeten, um ihren Angriff zu fahren. Leider sind nach meiner offiziellen Beschwerde bei Amazon und nachdem ich mehr als 12 Stunden abgewartet habe, die schädlichen Links immer noch online und aktiv! Angemerkt werden sollte hierbei, dass eine wachsende Zahl von Cyberkriminellen legitime Cloud-Dienste für ihre betrügerischen Zwecke nutzt. In den meisten Fällen ist dieser Missbrauch von Erfolg gekrönt.

Jetzt aber zurück zu der von Amazons WS Cloud gehosteten Malware:
Dieser Schädling enthält ein ganzes Bündel verschiedener Schadcodes, die ausnahmslos auf den Opfercomputer gedroppt werden und sich unterschiedlich auswirken:

  • Rootkit-Aktivitäten: Suche nach und Verweigerung einer regulären
    Ausführung vier verschiedener Antivirenlösungen sowie einer speziellen Sicherheitsanwendung namens GBPluggin, die von vielen Banken in Brasilien für brasilianische Online-Bankgeschäfte genutzt wird
  • Diebstahl der Finanzdaten von 9 brasilianischen und 2 internationalen
    Banken!

  • Diebstahl der Zugangsdaten für Microsoft Live Messenger.
  • Diebstahl der von den eTokens in dem System genutzten digitalen
    Zertifikate.

  • Diebstahl von Informationen über Prozessor, Datenträger
    (Festplattennummer), PC-Name, usw. (diese Daten werden von manchen lateinamerikanischen Banken während des Logins in die Bank verwendet, um Kunden zu authentifizieren)

  • Ausfiltern der gestohlenen Daten auf zweifache Weise: via E-Mail zu dem
    Gmail-Konto eines Cyberkriminellen und via eines speziellen PHP-Scripts, mit dem die Daten in eine Remote-Datenbank eingefügt werden.

  • Schlussendlich werden die schädlichen Samples von einer Anti-Piraterie-
    Software mit der Bezeichnung The Enigma Protector geschützt. Diese nutzten auch die Betrüger, um den Analysten ihren Reverse Engineering-Prozess zu erschweren.

    Alle Samples wurden von KAV detektiert als:

    Ich hoffe zudem, dass alle schädlichen Links schon bald von Amazon deaktiviert werden. Meiner Meinung nach werden legitime Cloud-Dienste weiterhin von den Cyberkriminellen für Cyberangriffe unterschiedlichster Natur genutzt werden. Cloud-Anbieter wären gut beraten, über effektivere Überwachungssysteme und die Aufstockung ihrer Sicherheitsteams nachzudenken, damit Malware-Angriffen, die durch ihren Dienst möglich gemacht und von diesem gestartet werden, einen Riegel vorzuschieben.

  • Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.